VECT 2.0: فدية تتحول إلى ممحاة بيانات تدمّر ملفات البنوك السعودية

كشف باحثو Check Point Research في 28 أبريل 2026 عن خلل حرج في برنامج الفدية VECT 2.0 يجعله يدمّر بشكل دائم وغير قابل للاسترجاع أي ملف يتجاوز حجمه 128 كيلوبايت. النتيجة العملية: حتى المؤسسات التي تختار دفع الفدية لن تستعيد قواعد بياناتها أو أقراص الأجهزة الافتراضية أو نسخها الاحتياطية. هذا التهديد يضع المؤسسات المالية السعودية أمام واقع جديد يتطلب إعادة تقييم استراتيجية مرونة البيانات وفق متطلبات SAMA CSCC.

تشريح الخلل التقني في تنفيذ ChaCha20

يستخدم VECT 2.0 خوارزمية ChaCha20-IETF لتشفير الملفات. عند معالجة أي ملف يتجاوز 131,072 بايت، يقسّم البرنامج الملف إلى أربعة أجزاء مستقلة ويولّد لكل جزء قيمة nonce عشوائية بطول 12 بايت. المشكلة أن البرنامج يحفظ آخر قيمة nonce فقط في نهاية الملف المشفّر، بينما تُنشأ القيم الثلاث الأولى وتُستخدم ثم تُلقى تلقائياً في الذاكرة دون تخزينها على القرص أو الريجستري أو إرسالها إلى خادم القيادة والسيطرة C2.

بما أن خوارزمية ChaCha20 تتطلب اقتران المفتاح بالـ nonce المطابق لكل جزء على حدة لفك التشفير، فإن ثلاثة أرباع كل ملف كبير تصبح مفقودة رياضياً — حتى لو امتلك المهاجم المفتاح الرئيسي ودفعت الضحية الفدية. هذا الخلل موجود في النسخ الثلاث للـ Windows وLinux وESXi.

لماذا هذا التهديد أخطر من فدية تقليدية

الفدية التقليدية تعمل وفق منطق اقتصادي: تشفير قابل للعكس مقابل دفعة مالية. أما VECT 2.0 فيكسر هذا العقد الإجرامي ويحوّل عملية التشفير إلى تدمير دائم. عتبة 128 كيلوبايت تعني عملياً أن قواعد بيانات البنوك وأقراص VMware ESXi وملفات Oracle DBF وأرشيف SWIFT والنسخ الاحتياطية المضغوطة كلها ستُدمَّر، بينما تنجو ملفات صغيرة لا قيمة تشغيلية لها.

ظهر VECT أول مرة في ديسمبر 2025 على منتدى ناطق بالروسية كنموذج Ransomware-as-a-Service، وتطوّر إلى الإصدار 2.0 في فبراير 2026 ليدعم بيئات الافتراضية ESXi التي تشغّل البنية التحتية للبنوك السعودية. كتابته بلغة C++ وتعدد المنصات يجعلانه قابلاً للنشر السريع عبر شبكات هجينة معقدة.

التأثير على المؤسسات المالية السعودية

وفق المتطلبات الفرعية في SAMA CSCC ضمن المجال الرابع المتعلق بالتشغيل وتقنية المعلومات، يُلزم الإطار المؤسسات المالية بضمان قدرتها على استعادة البيانات الحرجة خلال نوافذ زمنية محددة (RTO/RPO). عند مواجهة VECT 2.0، تصبح أي خطة استمرارية أعمال تعتمد على دفع الفدية كخيار احتياطي عديمة الجدوى. الأمر ذاته ينطبق على ضوابط NCA ECC في المجال الثاني، تحديداً ECC-2-9 المتعلق بحماية البيانات وECC-2-12 الخاص بالنسخ الاحتياطية.

الأخطر أن هذا التهديد يكشف عن فجوة تنظيمية: نظام حماية البيانات الشخصية PDPL يُلزم المؤسسات بإخطار الجهات المعنية والمتأثرين خلال 72 ساعة من اكتشاف خرق البيانات. لكن في حالة VECT 2.0، قد لا يكون البنك متأكداً من مدى تسرب البيانات (لأن المهاجم نفسه فقد القدرة على قراءتها) — مما يخلق التباساً في نطاق الإفصاح.

التوصيات والخطوات العملية

1. اعتماد قاعدة 3-2-1-1-0 للنسخ الاحتياطية: ثلاث نسخ على وسيطين مختلفين، نسخة خارج الموقع، نسخة غير قابلة للتعديل (Immutable)، صفر أخطاء عند الاختبار الأخير. المنصات مثل Veeam Hardened Repository وRubrik Append-Only ضرورية.
2. اختبار استعادة البيانات شهرياً وليس سنوياً، مع توثيق نتائج الاختبار في سجلات قابلة للتدقيق وفق متطلبات SAMA CSCC.
3. عزل بيئة ESXi عبر شبكة إدارة منفصلة (Out-of-Band Management) وتفعيل Lockdown Mode وSecure Boot على جميع المضيفين.
4. نشر EDR/XDR قادر على رصد سلوك الفدية المبكر مثل CrowdStrike Falcon أو SentinelOne Singularity، مع قواعد كشف خاصة بـ ChaCha20 nonce reuse patterns.
5. تطبيق Microsoft Controlled Folder Access وWindows Defender Application Control على محطات العمل ذات الوصول الإداري.
6. تحديث خطة الاستجابة للحوادث IRP لإدراج سيناريو "فدية مدمّرة" حيث الدفع ليس خياراً، مع تدريب فريق SOC على التمييز بينها وبين فدية قابلة لفك التشفير.
7. مراجعة عقود مزودي خدمات الافتراضية والاستضافة للتأكد من تطبيقهم لضوابط Zero Trust والفصل الكامل بين بيئات العملاء (Tenant Isolation).

الخلاصة

تكشف حادثة VECT 2.0 عن تحول جوهري في طبيعة تهديدات الفدية: لم تعد الإشكالية في القدرة على فك التشفير بعد الدفع، بل في إمكانية الاسترجاع أصلاً. المؤسسات المالية السعودية التي تعتمد استراتيجية احتياطية متينة ومختبرة هي الوحيدة القادرة على الصمود أمام هذا النوع من التهديدات الجديدة. الاستثمار في النسخ الاحتياطية غير القابلة للتعديل واختبار الاستعادة لم يعد رفاهية بل التزام تنظيمي وأخلاقي تجاه العملاء.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومراجعة استراتيجية مرونة البيانات لديك.